第四次基础设施审核由 Cure53 完成

2024 年 6 月 27 日 外部审核

我们与 Cure53 签约，对我们的 VPN 基础设施进行安全审核，审核时间为 2024 年 6 月 3 日至 6 月 14 日，这是我们总共第四次的审核，第二次与 Cure53 进行合作。

我们要求 Cure53 专注于一个 OpenVPN 和一个 WireGuard 伺服器。范围包括关注任何可能影响隐私的因素，以及他们的定期白箱安全测试。Cure53 获准访问这两台伺服器，以及用于部署的 Ansible 代码。

在本次审核中，我们在 预备环境 中部署了两台 VPN 伺服器。我们的预备环境配置与生产环境完全相同，只是没有客户连接到该环境，伺服器是运行在我们自有的硬体上的虚拟机。

Cure53 发现了两个问题，其中一个评估为低风险，另一个评估为中等风险。其余问题均评估为资讯级别。随著与 Cure53 的汇报会后，这些问题已被标记为已解决，因为它们已经部署到我们面向客户的生产环境中，这也在他们的报告中有所体现。

引用报告

Cure53 在审核结束时表示，他们对被评估项目的当前安全状态的 “整体评价非常正面。对细节的关注和对安全概念的有意应用显然表明，基础设施团队对于良好的安全实践和意识具备很高的知识和承诺。”

您可以在 Cure53 的网站上阅读完整审核报告。

报告注解与评论

Cure53 建议： 调整文件所有权和进程所有权，以防止任何所有者边界被突破。

Mullvad： 我们已经收紧了文件权限，并适当更改了所有者和组成员。

Cure53 建议： 调整用户名正则表达式，以避免匹配子字符串。

Mullvad： 我们已进行更改以匹配精确的用户名。

Cure53 建议： 删除不必要的 sudo 规则，将完全缓解此问题。保持 sudo 规则数量到最少有助于维持系统的最佳监管，特别是对于安全关键的子系统如 sudo 配置。

Mullvad： 我们已删除这一多余的配置。

Cure53 建议： “建议从本地系统中删除 Ansible 工作流程和角色，并确保在部署过程中不被缓存。”

Mullvad： 我们在与 Cure53 的汇报会和书面交流中澄清，我们使用 Ansible 的方法并不是为了缓存推送型部署，而是为了能够有一个系统来处理扩展部署。

这主要解决了两个问题：部署时间和持续检查配置状态。我们修改了 ansiblepull 所依赖的原则，使用了一种针对每台主机的定制配置，类似于其他基于拉取的配置管理工具的工作方式。这样确保我们只有主机本身的秘密，而不是整个清单，这样 ansiblepull 就会保存。

在开发期间，我们接受了额外工作流程和角色的风险。在某些伺服器上迁移特定配置时，我们会应用一个预部署工作流程，执行针对多种伺服器类型的迁移任务。该工作流程导入了与所有适用伺服器类型相关的角色，我们的 ansiblelocal 脚本会转移这里列出的所有角色，不论这些角色是否适用于某个具体伺服器。

Cure53 在报告结尾表示，他们 “试图识别任何可能影响用户 VPN 流量匿名性或完整性的潜在手段，但没有发现此类问题，也未检测到影响核心产品的漏洞。”

他们还称赞我们的安全性，指出 “Mullvad 的系统包括众多硬化功能，这非常积极，并有助于减轻许多攻击向量的影响。”

所有变更均已应用、验证并部署到我们的生产伺服器。我们将于 2025 年对我们的 VPN 基础设施进行再次审核。

为了普遍的隐私权，Mullvad